Microsoft gjør endringer i sine interne retningslinjer angående snoking av kundedata

I går, en Ex-Microsoft-ansatt ble arrestert for å lekke forretningshemmeligheter og interne Windows-relaterte programvarebygg til en blogger. Rettsdokumenter avslørte at Microsoft snoket inn i Outlook/Hotmail-kontoene til bloggen for å slå ned denne saken. Noen nyhetssider anklaget Microsoft for å snoke kundens (i dette tilfellet bloggerens) e-postkonto. Hovedargumentet deres var at mens Microsoft har avvist rivalen Google for å gå gjennom kunde-e-poster for å levere annonser, har den nå gjort det samme. Det er et dårlig argument gitt det faktum at dette er en straffesak som involverer skader på Microsofts egne eiendommer. Microsoft svarte innledningsvis med følgende uttalelse og sa at Microsofts vilkår for bruk tydeliggjør vår tillatelse til denne typen gjennomgang, dette skjer bare under de mest eksepsjonelle omstendighetene.

Under en etterforskning av en ansatt oppdaget vi bevis på at den ansatte ga stjålet IP, inkludert kode knyttet til aktiveringsprosessen vår, til en tredjepart. For å beskytte kundene våre og sikkerheten og integriteten til produktene våre, gjennomførte vi en etterforskning over mange måneder med rettshåndhevelsesbyråer i flere land. Dette inkluderte utstedelse av en rettskjennelse for ransaking av et hjem knyttet til bevis for de involverte kriminelle handlingene. Etterforskningen identifiserte gjentatte ganger klare bevis for at den involverte tredjeparten hadde til hensikt å selge Microsoft IP og hadde gjort det tidligere.

Som en del av etterforskningen tok vi trinnet med en begrenset gjennomgang av denne tredjepartens Microsoft-drevne kontoer. Mens Microsofts vilkår for bruk tydeliggjør vår tillatelse til denne typen gjennomgang, skjer dette bare under de mest eksepsjonelle omstendighetene. Vi bruker en streng prosess før vi vurderer slikt innhold. I dette tilfellet var det en grundig gjennomgang av et juridisk team atskilt fra etterforskningsteamet og sterke bevis på en kriminell handling som oppfylte en standard som var sammenlignbar med den som kreves for å få en juridisk ordre om å søke på andre nettsteder. Faktisk, som nevnt ovenfor, ble en slik rettskjennelse gitt i andre aspekter av etterforskningen.

Senere annonserte Microsoft endringer i sin interne policy for håndtering av slike typer saker i fremtiden.

John Frank, visepresident og nestleder:

Vi mener at Outlook og Hotmail e-post er og bør være privat. I dag har det vært dekning om en spesiell sak. Selv om vi tok ekstraordinære tiltak i denne saken basert på de spesifikke omstendighetene og våre bekymringer om produktintegritet som ville påvirke kundene våre, ønsker vi å gi ytterligere kontekst angående hvordan vi tilnærmer oss disse problemene generelt og hvordan vi utvikler retningslinjene våre.

Domstoler gir ikke pålegg som gir noen fullmakt til å ransake seg selv, siden det åpenbart ikke er behov for en slik pålegg. Så selv når vi tror vi har en sannsynlig årsak, er det ikke mulig å be en domstol om å beordre oss til å ransake oss selv. Men selv vi bør ikke foreta et søk i vår egen e-post og andre kundetjenester med mindre omstendighetene rettferdiggjør en rettskjennelse, hvis en var tilgjengelig. For å bygge på vår nåværende praksis og gi forsikringer for fremtiden, vil vi følge følgende retningslinjer fremover:

• For å sikre at vi overholder standardene som gjelder for å innhente en rettskjennelse, vil vi i første omgang stole på et juridisk team atskilt fra det interne etterforskningsteamet for å vurdere bevisene. Vi vil gå videre bare hvis teamet konkluderer med at det er bevis på en forbrytelse som ville være tilstrekkelig til å rettferdiggjøre en rettskjennelse, hvis en var aktuelt. Som et ekstra skritt, når vi går fremover, vil vi deretter sende inn disse bevisene til en ekstern advokat som er en tidligere føderal dommer. Vi vil foreta et slikt søk bare hvis denne tidligere dommeren på samme måte konkluderer med at det er bevis tilstrekkelig for en rettskjennelse.
• Selv når et slikt ransaking finner sted, er det viktig at det begrenses til saken som er under etterforskning og ikke søker etter annen informasjon. Vi vil derfor fortsette å sørge for at selve ransakingen gjennomføres på en forsvarlig måte, med tilsyn av advokat for dette formålet.
• Til slutt mener vi det er hensiktsmessig å sikre åpenhet om denne typen søk, akkurat som det er for søk som utføres som svar på myndighets- eller rettskjennelser. Vi vil derfor som en del av vår halvårlige åpenhetsrapport publisere dataene om antall av disse søkene som er utført og antall kundekontoer som har blitt berørt.

Det eneste unntaket fra disse trinnene vil være for interne undersøkelser av Microsoft-ansatte som vi finner i løpet av en firmaundersøkelse bruker sine personlige kontoer for Microsoft-virksomhet. Og i disse tilfellene vil anmeldelsen være begrenset til gjenstanden for etterforskningen.

Personvernet til kundene våre er utrolig viktig for oss, og selv om vi mener at handlingene våre i denne spesielle saken var passende gitt de spesifikke omstendighetene, ønsker vi å være tydelige på hvordan vi vil håndtere lignende situasjoner fremover. Derfor bygger vi på vår nåværende praksis og legger til dem for å styrke prosessene våre ytterligere og øke åpenheten.